Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 18028-1-2008 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности

     7.2 Процесс идентификации


При рассмотрении вопроса сетевых соединений все лица в организации, чьи обязанности связаны с соединениями, должны отчетливо сознавать требования и интересы бизнеса. Кроме того, они должны осознавать риски безопасности для таких сетевых соединений и соответствующие сферы контроля. Требования и интересы бизнеса, вероятно, будут влиять на многие решения и действия, предпринимаемые в процессе рассмотрения вопроса сетевых соединений, идентификации потенциальных сфер контроля и в конечном счете выбора, проектирования, реализации и поддержки защитных мер безопасности. Поэтому об этих требованиях и интересах бизнеса следует помнить на протяжении всего процесса. Для идентификации соответствующих требований безопасности, связанных с сетью, и сфер контроля необходимо решить следующие задачи (см. также ИСО/МЭК 17799):

- пересмотреть общие требования безопасности для сетевых соединений, сформулированные в корпоративной политике информационной безопасности организации* (см. раздел 8);

_______________

* Это будет включать позицию этой политики в отношении: 1) регулятивных и законодательных требований безопасности, связанных с сетевыми соединениями, которые определены соответствующими регулятивными или законодательными органами (включая национальные правительственные органы); 2) классификации данных, которые будут храниться или передаваться в сети.


- проверить сетевые архитектуры и приложения, связанные с сетевыми соединениями, для обеспечения необходимой подготовки решения последующих задач (см. раздел 9);

- идентифицировать вид (виды) сетевых соединений, подлежащих рассмотрению (см. раздел 10);

- проверить предложенные сетевые характеристики (чему при необходимости будет способствовать имеющаяся информация о сетевых архитектурах и приложениях) и соответствующие доверительные отношения (см. раздел 11);

- где возможно, определить взаимосвязанные виды рисков безопасности с помощью результатов оценки рисков и проводимой руководством проверки, включая рассмотрение ценности для бизнес-операций информации, которая будет передаваться через соединения, и любой другой информации, потенциально доступной несанкционированным образом через эти соединения, а также рассмотрение других предоставляемых услуг* (см. раздел 12);

_______________

* Это будет включать: 1) оценку рисков, связанных с потенциальными нарушениями необходимых предписаний и законов, относящихся к сетевым соединениям, которые определены соответствующими регулятивными или законодательными органами (включая национальные правительственные органы); 2) использование установленных потенциальных неблагоприятных воздействий на бизнес, подтверждающих классификацию данных, которые будут храниться или передаваться в сети.


- идентифицировать сферы контроля, соответствующие виду (видам) сетевых соединений, сетевым характеристикам и взаимосвязанным доверительным отношениям, а также видам определенных рисков безопасности, и параллельно документировать и проверять варианты технической архитектуры безопасности, и согласовать предпочтительный вариант* (см. раздел 13);

_______________

* Этот раздел будет включать средства контроля, необходимые для соблюдения предписаний и законов, связанных с сетевыми соединениями, которые определены соответствующими регулятивными или законодательными органами (включая национальные правительственные органы).


- реализовать и ввести в действие меры безопасности (см. раздел 14);

- осуществлять постоянный мониторинг и проверку реализации мер безопасности* (см. раздел 15).

_______________

* Этот раздел будет включать мониторинг и проверку средств контроля, необходимых для соблюдения предписаний и законов, связанных с сетевыми соединениями, которые определены соответствующими регулятивными или законодательными органами (включая национальные правительственные органы).


Следует отметить, что общие рекомендации по определению мер безопасности содержатся в ИСО/МЭК 17799. Настоящий стандарт является дополнением к этому стандарту в части определения соответствующих сфер контроля безопасности, связанных с сетевыми соединениями, и к стандартам ИСО/МЭК 18028-2 - ИСО/МЭК 18028-5.

На приведенном ниже рисунке 2 представлен общий процесс идентификации и анализа связанных с системами связи факторов, которые следует учитывать для установления требований сетевой безопасности, и обозначения потенциальных сфер контроля. Каждый этап процесса описан более подробно в разделах, следующих за рисунком 2.

     


Рисунок 2 - Процесс менеджмента в контексте сетевой безопасности



На рисунке 2 сплошные черные линии представляют основное направление процесса, а пунктирная черная линия - место, где могут быть определены виды рисков безопасности с помощью результатов оценки рисков безопасности и проводимой руководством проверки.

Кроме основного направления процесса на некоторых этапах возникает потребность повторного возвращения к результатам более ранних этапов для обеспечения согласованности, в частности, к этапам "Пересмотр корпоративной политики информационной безопасности" и "Проверка сетевых архитектур и приложений".

- после определения видов рисков безопасности может возникнуть потребность пересмотра корпоративной политики информационной безопасности вследствие возникновения некоторых фактов, которые не охвачены на этом уровне политики;

- при определении потенциальных сфер контроля должна быть учтена корпоративная политика информационной безопасности, потому что она может, например, определять, что конкретная защитная мера должна быть реализована во всей организации независимо от рисков;

- при проверке вариантов архитектуры безопасности необходимо рассматривать сетевые архитектуры и приложения для обеспечения их совместимости.